Fritz!Box 7390 blockiert Internet/LAN-Zugang für einzelne WLAN-Clients

[gHNm42]

Hallo Forum,
seit einigen Wochen hat meine als IP-Client per Ethernet-LAN an einer 7412 (=DSL-Modem) hängende 7390 eine merkwürdige Marotte entwickelt:
Einzelnen WLAN-Clients verwehrt sie den Zugang ins Internet, eigentlich bereits den ins von der 7412 kommende kabelgebundene LAN.
D.h. die WLAN-Verbindung ist für diese Clients einwandfrei, sie können sich auch untereinander "sehen" (ping), sie bekommen auch per DHCP von der 7412 ihre IP-Adresse zugewiesen, aber sonst geht gar nichts. Ich habe diesbezüglich auch schon die Paketmitschnitte mit Wireshark durchgesehen, ohne darin irgendwas erhellendes zu finden. Mit DNS hat es nichts zu tun, denn auch numerische Adressen kommen nicht durch.

Das ganze Problem beginnt nach ein paar Stunden oder Tagen und läßt sich zuverlässig durch einen Neustart der 7390 beheben - bis es dann wiederkommt.

Filter (Kindersicherung) sind zwar auf der vorgelagerten 7412 definiert, aber nicht für die betroffenen Geräte, und auf der 7390 kann man im Client-Modus gar keine einstellen. Außerdem sollte ja der Filter nur den Internetzugang betreffen, nicht bereits das LAN.

Der grundsätzliche Aufbau lief schon jahrelang problemlos so (und für den gibt es auch gute Gründe), und die beiden Fritz!Boxen haben auch von AVM schon ewig kein Update mehr erhalten, nur die WLAN Clients kommen und gehen natürlich. Ich weiß also nicht, was der Auslöser des Ärgers sein könnte.
Wenn irgendjemand noch eine Idee hat, bitte melden!

 

[Spielebernd]

Hy. Beides schon etwas ältere Geräte ein Update wird hier wahrscheinlich keins mehr bekommen.

Der Filter für Internet ist wie der Name schon sagt für den Internetzugriff ob du hier über LAN oder WLAN drauf zugreifst ist egal.

Eine Idee wäre das bei deinen Geräten die private WLAN Adresse aktiv ist (ist eine iOS Bezeichnung kann bei anderen Geräten anders heißen) dies in Verbindung mit der Kindersicherung könnte das Verhalten auslösen.

Haben die Geräte den über das WLAN der 7412 Internetzugang?

 

[gHNm42]

Wie gesagt, in der 7390 (=WLAN AccessPoint) ist ja gar kein Filter drin (da kommt sogar eine Meldung, dass die Firewall deaktiviert würde, sobald man den IP-Client-Modus aktiviert, wenn ich mich recht erinnere). Kann man das in den Diagnosedaten irgendwo sehen, ob das wirklich aus ist?

Die Idee mit den privaten Adressen hatte ich auch schon und habe sie in den letzten Tagen bei allen Clients deaktiviert. Jetzt tauchen zwar keine pseudonymen "PC-198-168-178-123" Geräte mehr auf, aber das eigentliche Problem ist leider immer noch da.

Ein Update von AVM erwarte ich ja gar nicht, es müsste nur wieder so funktionieren wie früher. Ich habe auch schonmal Werkeinstellungen und Restore versucht, aber das hat nichts gebracht. Komplett manuell neu einrichten scheue ich etwas, da es viel Arbeit ist, vorher alles abzuschreiben und nichts zu übersehen.

An der 7412 ist kein WLAN aktiviert, die sitzt nämlich tief unten im Keller und spielt nur DSL-Modem, dahinter ist ein Switch, dahinter die 7390 als Wifi-AP.

Falls es was hilft: bisher war noch kein iOS/Macos betroffen, nur Windows, Google-TV und Shelly-Schalter.

 

[Spielebernd]

Die Filtereinstellungen kannst du nur in der 7412 setzen und diese blockieren wenn das die Ursache sein sollte. Im IP-Client Modus musst du und kannst du nichts hierzu einstellen das alles der Hauptrouter macht.

Versuch mal Testaufbau kurzes LAN Kabel 7390 direkt dran ob das eine Veränderung bringt.

Was wird für eine Fehlermeldung ausgeworfen beim öffnen einer Seite?

 

[gHNm42]

Die 7390 selbst und alle anderen Clients an ihr sind ja aus dem LAN erreichbar und sie erreichen umgekehrt LAN/Intenet. Am Kabel liegt es also definitiv nicht.
Fehlermeldung - na ja, halt "Die Verbindung mit dem Server XYZ schlug fehl" bzw. "Verbindung fehlgeschlagen" bei numerischer Adresse. Aber die Browsermeldung ist auch eher unwichtig, da ich ja weiß, dass nicht einmal ein Ping vom Windows-PC via WLAN der 7390 auf die numerische Adresse der 7412 geht. Oder z.B. auf die 8.8.8.8. Die 7390 blockt einfach alles, was das eigene WLAN von dem "gestörten" Client kommend verlassen will (und umgekehrt), egal ob ins LAN, ins Internet oder auch nur zu einem weiteren direkt an der 7390 angestecktem Gerät. Innerhalb des WLANs hingegen blockt sie nichts (es ist dafür natürlich "Clients dürfen untereinander kommunizieren" angekreuzt).

 

[Boxenluder]

Ich würde mal mit dem banalsten beginnen und zwar testweise mit einem neuen/anderen Netzteil für die 7390. Nachlassende Netzteile produzieren oftmals kuriose Fehlerbilder.

 

[gHNm42]

Wenn ich absichtlich ein Gerät in der 7412 sperre, wirkt es sich übrigens anders aus: Das gesperrte Gerät erreicht das gesamte LAN (nicht nur WLAN) und ist nur ins WAN(=Internet) blockiert. Wie es sein soll.

 

[gHNm42]

Netzteil: eine neues habe ich natürlich nicht da zum testen. Einen immer gut warm werdenden USB-Stick habe ich mal entfernt, aber der Fehler kam wieder. Ich würde von einem Netzteilfehler auch eher zufällige Komplettabstürze/Neustarts erwarten, als so ein ganz systematisches Problem.

 

[Boxenluder]

Ich würde von einem Netzteilfehler auch eher zufällige Komplettabstürze/Neustarts erwarten, als so ein ganz systematisches Problem.

Die Schaltnetzteile fangen wegen aufgeblähter Elkos langsam an die Sollspannung nichtmehr zu liefern. Das muss nicht immer gleich zu einem Komplettabsturz führen. Erst im Endstadium häufen sich die Ausfälle und dann auch Reboots.
Btw habe ich bei einigen Netzteilen, die noch aufschraubbar waren, die zwei Elkos gegen bessere getauscht ... die laufen heute noch

 

[gHNm42]

Das mag ja sein, aber wie kann eine zu niedrige Versorgungspannung Probleme mit bestimmten IP-Adressen machen und mit anderen nicht?
Übrigens: Wenn ich den IP-Client-Modus abschalte ist auch die Blockade weg (aber natürlich ist die gewünschte Funktion dann auch nicht mehr gegeben), sobald ich ihn wieder einschalte, kommt sie wieder. Nein, das ist eindeutig irgendein Konfigurationsproblem.
Ich werde wohl in den sauren Apfel beißen und alle Einstellungen abschreiben, Werkseinstellungen, und dann nach und nach alles wieder eintragen. Wenn das auch nichts hilft, schalte ich wahrscheinlich WLAN an der 7390 ab (sie macht dann nur noch Telefonie und NAS) und stelle mir einen anderen Wifi-AP daneben.

 

[blurrrr]

Ich habe diesbezüglich auch schon die Paketmitschnitte mit Wireshark durchgesehen, ohne darin irgendwas erhellendes zu finden.

Irgendwas "erhellendes" wird man da sicherlich finden und wenn es allein die Tatsache ist, dass auf Anfragen keine Antworten zurück kommen.

Komplett manuell neu einrichten scheue ich etwas, da es viel Arbeit ist, vorher alles abzuschreiben und nichts zu übersehen.

Also "viel" Arbeit halte ich jetzt schon für etwas übertrieben... Reset, DHCP aus, IP-Client, fertig - keine Ahnung, was Du da noch groß konfigurieren willst? Alternativ kannst Du auch einfach mal eine Sicherung der Config machen, Reset und Config wieder einspielen (womit sicher aber vermutlich der vorherige Fehler auch wieder einschleichen wird, sofern es eine Sache der Config ist). Aber: probieren geht über studieren

Filter (Kindersicherung) sind zwar auf der vorgelagerten 7412 definiert, aber nicht für die betroffenen Geräte, und auf der 7390 kann man im Client-Modus gar keine einstellen. Außerdem sollte ja der Filter nur den Internetzugang betreffen, nicht bereits das LAN.

Die Filter könntest Du auch temporär einfach mal ausschalten (sofern sowas geht, benutze solche Funktionen nicht).

 

[UdoAA]

Hmm, da beide Boxen seit einiger Zeit schon keine Updates mehr erhalten haben würde ich mir die Frage nach der Sicherheit der beiden Dinger für Internet-Access und WLAN stellen.

 

[gHNm42]

Irgendwas "erhellendes" wird man da sicherlich finden und wenn es allein die Tatsache ist, dass auf Anfragen keine Antworten zurück kommen.

Wenn man nicht der totale Netzwerkexperte ist (ich bin's nicht) und nicht so genau weiß, wonach man sucht, dann ist es halt schwierig, da den richtigen Hinweis in der Informationsflut zu finden. Genauso in den sehr umfangreichen den Fritzbox-Diagnose-Daten.

Also "viel" Arbeit halte ich jetzt schon für etwas übertrieben... Reset, DHCP aus, IP-Client, fertig - keine Ahnung, was Du da noch groß konfigurieren willst?

Da verschätzt Du Dich gewaltig. Ich habe jetzt >50 Screenshots gemacht. Da gibt es unzählige Detaileinstellungen, nicht alles "überlebenswichtig", aber ärgerlich, wenn man es nachher nicht mehr wie gewohnt läuft.
V.a. den Telefonieteil mit allen Rufnummern, Zugängen, Weiterleitungen, AB/Fax, Telefonbüchern, Blacklist, ... musste ich exakt dokumentieren. Aber vermutlich werde ich den Teil auch versuchen einzeln wieder zu importieren (ich glaube, man kann das grob auswählen beim Restore). Und hoffen, dass dieser Teil nicht den Fehler enthält, aber Telefonie und Routing scheint mir doch inhaltlich recht weit auseinander zu sein.

Alternativ kannst Du auch einfach mal eine Sicherung der Config machen, Reset und Config wieder einspielen (womit sicher aber vermutlich der vorherige Fehler auch wieder einschleichen wird, sofern es eine Sache der Config ist). Aber: probieren geht über studieren

Das habe ich ja schon probiert, siehe Post #3.

Die Filter könntest Du auch temporär einfach mal ausschalten (sofern sowas geht, benutze solche Funktionen nicht).

Man kann in der 7412 nur alle Clients auf "Standard" oder "unbegrenzt" setzen. Aber in der 7390 ist der Filter durch den Clientmodus überhaupt nicht konfigurierbar (und sollte aus sein).

Ich werde nachher mich dann mal ans neu Einrichten machen und später berichten, ob's was gebracht hat (falls ja, weiß ich das natürlich erst nach einigen Tagen mit einer gewissen Sicherheit).

Hmm, da beide Boxen seit einiger Zeit schon keine Updates mehr erhalten haben würde ich mir die Frage nach der Sicherheit der beiden Dinger für Internet-Access und WLAN stellen.

Die Boxen haben beide v6.87 von Ende 2021. WLAN ist halt nur WPA2, aber immerhin. Ich habe natürlich schon überlegt, sie zu ersetzen. Aber dann ist ja auch neu einrichten angesagt, denn ich will den Fehler ja nicht wieder zurück importieren. Wenn ich diese Arbeit sowieso habe, kann ich das aber auch erstmal mit der vorhandenen Box ausprobieren und dann weitersehen.

 

[gHNm42]

Hat leider nicht geholfen, Problem tritt immer noch auf. Ich mache jetzt noch dasselbe (=manuelle Neueinrichtung) mit der vorgeschalteten 7412, nur für den Fall, dass es doch irgendwie mit dieser zusammenhängt.

 

[Boxenluder]

Wenn die 7412 DHCP spielt und scheinbar ihr Handling über die Clients verliert, könnte diese, aufgrund eines schwächelnden Netzteiles, gleichfalls aus dem Tritt kommen? Aber das schließt du ja im kategorischen Imperativ aus.

 

[gHNm42]

Ich schließe es nicht völlig aus (deshalb der Test ohne zusätzlichen USB-Verbraucher, siehe #8), und für die Netzteil-Theorie spräche, dass der Fehler einfach so von selbst jegliche ohne Konfigurationsänderung o.ä. sich einstellte, also wie durch Alterung.
Aber ich habe nunmal kein zusätzliches Netzteil zum Testen da, und bevor ich mir fürs Labornetzteil einen passenden Stecker bastele o.ä., probiere ich halt erstmal die leichter zu testenden (und in der Tat nach meiner Meinung wahrscheinlicheren) Sachen durch und setze die Konfiguration(en) zurück.
Beim Werksreset der 7412 war es übrigens interessant: ohne dass ich die 7390 angerührt habe (kein Neustart o.ä.), hat die Neueinrichtung der 7412 einen zuvor gesperrten PC im 7390er WLAN wieder entsperrt! Also irgendwie pfuscht die 7412 da doch mit rein, auch wenn definitiv die 7390 die Sperre dann am Ende ausführt. Leider ist die Kommunikation der Fritz!boxen untereinander nicht dokumentiert (oder kennt da einer was? Dann könnte ich das mal mitschneiden und anschauen).

Die schlechte Nachricht: nach ein paar Stunden war dann wieder ein anderes Gerät gesperrt. Hat also insgesamt nichts gebracht.

Ich habe jetzt provisorisch das 7390er WLAN einfach ganz deaktiviert und einen anderen AP im Haus versetzt, um provisorisch genug Abdeckung zu haben, während ich die weiteren Schritte (und ggf. Neuanschaffungen) überlege.
Immerhin habe ich jetzt mal alle Einstellungen ordentlich aufgeräumt und aufgeschrieben.

 

[Boxenluder]

M.W. hat die 7412 12V1A und die 7390 1,5A. Auch wenn das der 7390 schwächelt, sollte es an der 7412 ausreichen.
Du kannst zwecks Diagnose auch Telnet/Siab auf beiden Boxen durch kleine Modifikationen aktivieren, um die entsprechenden Prozesse respektive Logs zu untersuchen. Peter Pawns GitHub hält dazu einiges vor.
Zudem beschleicht mich die Mutmaßung, das die 7390 nicht sauber als IP-Client eingebunden ist. Ich entsinne mich, daß beim Wechsel der Zugangsart (Router-/Clientmodus) per LAN oder WLAN irgendwelche Config-Fragmente gelegentlich querschossen.
Gerade 2 DHCP-Server im selben Heimnetz könnten ein solches Szenario auslösen.
Vielleicht könnte ein Werksreset mit erneuter manueller Config der 7390 das Problem lösen.

 

[gHNm42]

Vielleicht könnte ein Werksreset mit erneuter manueller Config der 7390 das Problem lösen.

Das habe ich doch gerade erst - leider ohne anhaltenden Erfolg - versucht.

M.W. hat die 7412 12V1A und die 7390 1,5A. Auch wenn das der 7390 schwächelt, sollte es an der 7412 ausreichen.

Ja, aber dann habe ich doch an der 7390er mehr keins? Die Probleme habe ich ja nur im Zusammenspiel beider Boxen - wenn ich die 7390er außer Betrieb nehme, ist natürlich kein Problem mehr da, egal mit welchem Netzteil die 7412 läuft.

Zudem beschleicht mich die Mutmaßung, das die 7390 nicht sauber als IP-Client eingebunden ist. Ich entsinne mich, daß beim Wechsel der Zugangsart (Router-/Clientmodus) per LAN oder WLAN irgendwelche Config-Fragmente gelegentlich querschossen.
Gerade 2 DHCP-Server im selben Heimnetz könnten ein solches Szenario auslösen.

Genau in diese Richtung tendiere ich auch. Zwei DHCP-Server sollte es in dem Modus aber eigentlich nicht geben (die 7390 bezieht ihre eigene Adresse vom der 7412 und lässt auch alle Ihre WLAN-Clients ihre Adressen von dort holen. Aber danach blockiert sie die Verbindungen dorthin und darüberhinaus, jedenfalls für manche Clients). Auch eine Firewall sollte es in der 7390 eigentlich nicht geben, da kommt beim Aktivieren des IP-Client-Modus explizit die Meldung
"Achtung: Die Firewall der FRITZ!Box wird im Betrieb als IP-Client deaktiviert.
Die Oberfläche der FRITZ!Box ist nach dem Übernehmen der Einstellungen nur noch über die eingestellte oder automatisch über DHCP vergebene IP-Adresse erreichbar."
Den Modus hatte mir damals übrigens ganz explizit der AVM-Support für mein Setup empfohlen - anstatt die 7390 ein separates Subnetz aufspannen zu lassen, was ich als äußerst unpraktisch empfinde.